Малко хардуерно устройство генерира мастър ключ за всяко помещение в хотела (източник: F-Secure)
Когато наемат хотелска стая, повечето хора взимат предвид сигурността като един от факторите. Наравно с това дали хотелът предлага румсървиз, климатизация или безплатен интернет, бихме искали да знаем също дали и личните ни вещи ще са на сигурно място по време на престоя ни. Колкото по-добра е репутацията на хотела и локацията му, толкова по-защитени се чувстваме.
Но как бихте се почувствали, ако откриете, че заключващата система на хотела, за който плащате по $400 на нощувка, е уязвима и може да бъде хакната? Нещо повече, похитителят може да достъпи не само вашата, но и всяка друга стая в хотела.
Звучи страшничко, но това е откритието, до което са стигнали изследователи от F-Secure, докато проучват широко използвана заключваща система за хотели, създадена от един от най-големите производители на подобен тип оборудване на пазара – Assa Abloy. Откритието засяга милиони заключващи системи и десетки хиляди хотели по целия свят, включително локации, управлявани от добре известни международни вериги.
Началото
Преди години, двама от етичните хакери на F-Secure посещават конференция за информационна сигурност в Берлин. Лаптопът на единия от тях е откраднат от заключената хотелска стая, докато двамата били навън. Учудващо, нямало следи от взлом. Те докладвали кражбата на рецепция, но без следи от взлом или неоторизиран достъп до стаята (и без следа в софтуерните логове), оплакването било отхвърлено.
Това възбудило любопитството на специалистите от компанията за сигурност. Те решили да разследват дали е възможно да влезеш в заключена хотелска стая без ключ… и без следа. В крайна сметка, след години на проучване като странична дейност, те открили как точно може да стане това.
Мишената: световно известна марка, известна със своето качество и сигурност.
„Можете да си представите на какво е способен злонамерен човек, който може да проникне безпроблемно във всяка хотелска стая, използвайки мастър ключ, изработен на практика от нищото“, казва Томи Туоминен, практически лидер в F-Secure Cyber Security Services. Той работи рамо до рамо с Тимо Хирвонен, старши консултант по сигурността в F-Secure, по намиране на начин за експлоатиране на софтуерната система, известна като Vision от VingCard.
Хакът
Като начало нападателят трябва да получи достъп до електронен ключ (RFID или магнитна лента) за желаното съоръжение. Буквално всеки ключ върши работа, независимо дали е ключ от стая, ключ от сервизно помещение или за гараж. Нещо повече, не е необходимо ключът да е активен: дори и ключ от настаняване отпреди 5 години би свършил работа.
Нападателят разчита ключа и използва малко хардуерно устройство, за да произведе още ключове. Тези ключове могат да бъдат тествани на всяка ключалка в същата сграда. За минути устройството генерира мастър ключ за всяко помещение в сградата. След което може да бъде използвано вместо ключ, отключвайки всяка ключалка в сградата или като алтернатива да препрограмира всеки съществуващ ключ с новосъздадения мастър.
Необходимият хардуер е достъпен за поръчка онлайн само за няколкостотин евро. Въпреки това, използването на специално разработения от Томи и Тимо софтуер прави атаката възможна.
„Разработването на система за контрол на достъпа е много трудно поради факта, че има много неща, които трябва да се вземат предвид“, споделя Тимо. „Само след като разбрахме в детайли как е разработена цялата система, успяхме да идентифицираме привидно безобидни недостатъци. Комбинирахме тези недостатъци и по този начин успяхме да открием метод за създаване на мастър ключове“.
Томи и Тимо също открили, че софтуерът Vision може да бъде експлоатиран от същата мрежа, за да се получи достъп до чувствителни клиентски данни. Злонамерено лице може да свали данни на гости, както и да създава, изтрива или модифицира записи.
Решението
Томи и Тимо информирали Assa Abloy за своето откритие през април 2017 г. и оттогава работят успоредно с R&D екипа на заключващите системи, за да запълнят пропуските. Наскоро Assa Abloy пусна софтуерен ъпдейт, който беше предоставен на всички засегнати хотели.
„Само заради усърдието и желанието от страна на Assa Abloy да се адресира проблемът, светът на хотелиерството е едно по-добро място“, казва Томи. “Призоваваме всички организации, използващи този софтуер, да приложат новата версия час по-скоро“.
Дуото няма да публикува пълно описание на атаката, нито ще разработва каквито и да е атакуващи средства. Към днешна дата не е известна нито една реална атака, базирана на тази методология.
Хотелиерството е таргетирана индустрия на бойното поле на информационната сигурност. Какви мерки трябва да взимат пътуващите, за да се защитят от подобни атаки, когато наемат хотелска стая?
„Моята препоръка е, че хората трябва да продължат да правят нещата, които искрено се надявам вече правят“, казва Тимо. „Това означава да не оставяте никакви ценности в хотелската стая и обезателно да използвате допълнителното резе (верига), когато сте в стаята или лягате да спите. Ако до момента не сте взимали предвид тези допълнителни мерки за сигурност, може би сега е точният момент да започнете“.